[问答]

fastjson为什么会被频繁爆出漏洞？

问答对人有帮助，内容完整，我也想知道答案 0 fastjson大家一定都不陌生，这是阿里巴巴的开源一个JSON解析库，通常被用于将Java Bean和JSON 字符串之间进行转换。前段时间，fastjson被爆出过多次存在漏洞，很多文章报道了这件事儿，并且给出了升级建议。但是作为一个开发者，我更关注的是他为什么会频繁被爆漏洞？于是我带着疑惑，去看了下fastjson的releaseNote以及部分源代码。最终发现，这其实和fastjson中的一个AutoType特性有关。从2019年7月份发布的v1.2.59一直到2020年6月份发布的 v1.2.71 ，每个版本的升级中都有关于AutoType的升级。下面是fastjson的官方releaseNotes 中，几次关于AutoType的重要升级： 0
2020-11-4 06:01:21　　评论淘帖0 邀请回答您可以邀请以下用户，快速回答问题 × 陈该类别下有 5 个回答。邀请回答 jf_71236567 该类别下有 3 个回答。邀请回答 To7ny 该类别下有 2 个回答。邀请回答 yhsales 该类别下有 2 个回答。邀请回答 puzhang549 该类别下有 2 个回答。邀请回答 ZONEK 该类别下有 2 个回答。邀请回答 tijing忽忽该类别下有 2 个回答。邀请回答 HELLOKITTYNEW 该类别下有 2 个回答。邀请回答 dlksmad 该类别下有 2 个回答。邀请回答 nvwwerwr 该类别下有 2 个回答。邀请回答 mu0543 该类别下有 2 个回答。邀请回答 60user28 该类别下有 2 个回答。邀请回答 60user102 该类别下有 1 个回答。邀请回答 semlong 该类别下有 1 个回答。邀请回答 60user16 该类别下有 1 个回答。邀请回答 IC大当家ac 该类别下有 1 个回答。邀请回答 xbxsxj 该类别下有 1 个回答。邀请回答 60user55 该类别下有 1 个回答。邀请回答撒大声地该类别下有 1 个回答。邀请回答 h1654155957.9185 该类别下有 1 个回答。邀请回答举报蒋进如相关推荐 • 怎么设计一款基于渗透性测试的Web漏洞扫描系统？ 896 • 采用ZigBee协议的智能家居设备存在漏洞吗？ 1478 • 使用stm32H750进行sd卡的fatfs实验时爆出FR_NOFILESYSTEM的错误怎么解决？ 1313 • 【harmonyOS】编译3861平台爆出无法找到build.py的错误 1932 • 已知的HAB漏洞是否会影响i.MX6ULL版本1.1？ 407 • 如何针对服务器进行漏洞修复 2608 • STM32Cube工具的log4j漏洞CVE-2021-44228和CVE-2021-45046有何影响？ 246 • 使用Windows NucleiIDE上载程序时报错怎么解决？ 138 • PSoC 4系列中的Rootkit漏洞 1088 • 对于STM32的控制系统如果频繁进入中断会有问题吗？ 378 1个回答

答案对人有帮助，有参考价值 0 1.2.59发布，增强AutoType打开时的安全性 fastjson1.2.60发布，增加了AutoType黑名单，修复拒绝服务安全问题 fastjson1.2.61发布，增加AutoType安全黑名单 fastjson1.2.62发布，增加AutoType黑名单、增强日期反序列化和JSONPath fastjson1.2.66发布，Bug修复安全加固，并且做安全加固，补充了AutoType黑名单 fastjson1.2.67发布，Bug修复安全加固，补充了AutoType黑名单 fastjson1.2.68发布，支持GEOJSON，补充了AutoType黑名单。（引入一个safeMode的配置，配置safeMode后，无论白名单和黑名单，都不支持autoType。） fastjson1.2.69发布，修复新发现高危AutoType开关绕过安全漏洞，补充了AutoType黑名单 fastjson1.2.70发布，提升兼容性，补充了AutoType黑名单甚至在fastjson的开源库中，有一个Isuue是建议作者提供不带autoType的版本： -w747 那么，什么是AutoType？为什么fastjson要引入AutoType？为什么AutoType会导致安全漏洞呢？本文就来深入分析一下。

2020-11-4 11:10:29 评论举报张红玲